1、前言
这种东西是面试常问的,其实在现实中也常用。因为安全的关系,需要线上部署的系统经常是 https 而非 http 访问,但如果不知道 https 为何安全这些细节的话,估计会被贻笑大方(因为这算很基础的知识)。
2、原理
http 采用明文传输,会出现各种不安全的问题(http 在应用层直接加密报文应该可以)。与此同时,https 孕育而生。
https 采用与 ssl 结合的方式,在网络层与应用层之间提供加密报文的方式保证安全,并且可以使用证书的手段验证服务器身份。
证书
整体思路是这样的,服务器为了验证自己的身份需要向证书机构申请证书,申请时附带自己的公钥,证书机构会给这个公钥一个数字签名,保证公钥有效企业真实存在。最后服务器与浏览器通信时,服务器会将自己的证书发送给浏览器,浏览器内置证书机构的公钥,会验证证书的真实性,验证通过后才与浏览器进行通信。浏览器会随机生成一个共享密钥,通过公钥加密传送到服务器,服务器通过私钥解密。此后,client、server 就使用共享密钥加解密进行通信。
更详细的流程如下:
https 通信过程
网友评论